sniffer

marck
(usa Suse)

Enviado em 15/03/2008 - 00:46h

O sniffer é um programa para monitoramento ja discutido aqui no vol. Mas este monitoramento pode acontecer em um pc remoto? De que forma posso detecta-lo (no linux e windows)?

abrigado

sdrconsulting
(usa CentOS)

Enviado em 15/03/2008 - 09:08h

Caro,

O sniffer é um programa para captura e analise do trafego de rede baseado em portas, protocolos, origem e destino da conexão. Ao executar o sniffer ele modifica o estado da interface de rede para o modo promiscuo, ou seja, colaca sua interface em modo de escuta, tudo que passar por ela ou pelo segmento de rede onde esta é capturado.

É importante entender que a captura e analise da rede pode não obter os resultados desejados se voce utilizar switches pelo fato da comutação dos pacotes. Se o seu ambiente de rede tiver switches gerenciaveis, será necessário configurar o espelhamento de portas.

Se essa é a sua intenção o sniffer ira te ajudar, se voce precisa monitorar o funcionamento do equipamento, outras opções são mais indicadas: NTOP, CACTI, ZABBIX, etc.

Abs.

Sylvio Carlos

marck
(usa Suse)

Enviado em 15/03/2008 - 11:50h

Minha dúvida é quanto a identificção se o sniffer ou similar esteja agindo. E forma de eleimina-lo. Minha conexão é direta com a internet(por modem).(não passa por uma rede de pcs)


abrigado

pelo
(usa Debian)

Enviado em 15/03/2008 - 16:53h

Meu caro,

Para rodar um sniffer e conseguir alguma informação, há duas situações:

1) O equipamento ativo que interliga sua rede interna eh um HUB. Ele (HUB) envia a informação para todos os computadores que estão na rede, ao contrário do switch que envia informações somente para o computador da rede interna desejado, evitando assim que consiga capturar alghuma coisa. O computador numa rede com HUB, descarta as informações que não foram destinadas a ele. Mas, se você está nessa rede rodando um sniffer, ele não descartará os pacotes.

2) A segunda opção é você rodar o sniffer em um gateway da rede, onde todas as informações que não forem da tua rede interna sairão por ele (exemplo internet), ou forem destinados para outra rede interna. Instalar/rodar um sniffer em um gateway, não será possível capturar o tráfego dos computadores que ficam somente em sua rede interna.

Espero que entenda

Sérgio Abrantes

[]'s

y2h4ck
(usa Suse)

Enviado em 18/03/2008 - 06:17h

Olá pessoal,

Acho que nosso amigo ai de cima não entendeu a dúvida do camarada. Na verdade ele quer 'IDENTIFICAR' o sniffer para poder eliminá-lo.

Bom existe uma técnica utilizada para identificar sniffer onde aplicam-se alguns vetores baseados na metodologia de execução da camada OSI.

Tendo que um determinado pacote dentro de uma rede X, baseado em seu TTL (determinados pelos números de hopes por onde o pacote passa) seja decrementado em uma rede sem um gateway, pode ser uma chance de este pacote ter sido capturado por um sniffer.

Uma ferramenta que ajuda vc a sniffar e à também detectar um sniffer na sua rede é o Ettercap. Ele tem um módulo que varre o seu segmento a procura de máquinas com a interface em modo promíscuo.

Caso o sniffer que esteja rodando em sua rede seja um sniffer ativo em que se estejam executando um ARP Poison, existe um artigo aqui no vol sobre uma ferramenta que analisa e avisa sobre modificações na tabela arp da rede, avisando assim que um ataque deste tipo está ocorrendo.

Boa sorte.